Przejdź do treści głównej
OpenAI

30 października 2025

ZabezpieczeniaProduktBadaniaWersja

Przedstawiamy Aardvark: agenta-badacza OpenAI ds. bezpieczeństwa

Obecnie w prywatnej wersji beta: agent AI, który myśli jak badacz bezpieczeństwa i skaluje się, aby sprostać wymaganiom nowoczesnego oprogramowania.

Ładowanie…

Dzisiaj przedstawiamy Aardvark — agenta-badacza bezpieczeństwa opartego na technologii GPT‑5.

Bezpieczeństwo oprogramowania jest jedną z najważniejszych — i najtrudniejszych — dziedzin technologii. Każdego roku w kodach źródłowych oprogramowania komercyjnego i open source wykrywane są dziesiątki tysięcy nowych luk w zabezpieczeniach. Obrońcy stoją przed trudnym zadaniem wykrywania i usuwania takich podatności, zanim trafią na nie napastnicy. W OpenAI pracujemy nad tym, by przechylić tę szalę na korzyść obrońców.

Aardvark stanowi przełom w dziedzinie AI i badań nad bezpieczeństwem: to autonomiczny agent, który może pomóc programistom i zespołom ds. bezpieczeństwa w wykrywaniu i usuwaniu luk w zabezpieczeniach na dużą skalę. Aardvark jest obecnie dostępny w prywatnej wersji beta, aby sprawdzać i udoskonalać jego możliwości w praktyce.

Jak działa Aardvark

Aardvark nieprzerwanie analizuje repozytoria kodu źródłowego , aby wykrywać luki w zabezpieczeniach, oceniać możliwość ich wykorzystania w złych celach, ustalać priorytety według stopnia zagrożenia oraz proponować odpowiednie poprawki.

Aardvark działa poprzez monitorowanie zmian w kodzie źródłowym, wykrywanie podatności i potencjalnych sposobów ich wykorzystania oraz proponowanie poprawek. Aardvark nie opiera się na tradycyjnych technikach analizy programów, takich jak fuzzing czy analiza składu oprogramowania. Zamiast tego wykorzystuje rozumowanie i narzędzia oparte na modelu LLM, aby zrozumieć zachowanie kodu i zidentyfikować luki w zabezpieczeniach. Aardvark wyszukuje błędy tak samo, jak robiłby to człowiek sprawdzający bezpieczeństwo: czyta kod, analizuje go, pisze i uruchamia testy, korzysta z narzędzi i nie tylko.

Schemat zatytułowany „AARDVARK — proces pracy agenta wykrywającego luki w zabezpieczeniach”, przedstawiający przebieg procesu od repozytorium Git do modelowania zagrożeń, wykrywania luk w zabezpieczeniach, piaskownicy walidacyjnej, wprowadzania poprawek za pomocą Codex oraz weryfikacji przez człowieka, aż po pull request.

Aardvark wykorzystuje wieloetapowy proces do identyfikowania, wyjaśniania i usuwania luk w zabezpieczeniach:

  • Analiza: Rozpoczyna się od analizy całego repozytorium w celu stworzenia modelu zagrożeń na podstawie wypracowanego zrozumienie celów bezpieczeństwa i koncepcji projektu.
  • Skanowanie zatwierdzonych zmian: Wyszukuje luki w zabezpieczeniach, sprawdzając zmiany na poziomie zatwierdzeń w całym repozytorium i modelu zagrożeń w miarę zatwierdzania nowego kodu. Przy pierwszym połączeniu z repozytorium Aardvark skanuje jego historię w celu zidentyfikowania istniejących problemów. Aardvark wyjaśnia wykryte luki w zabezpieczeniach krok po kroku, opatrując kod adnotacjami do sprawdzenia przez człowieka.
  • Walidacja: Po zidentyfikowaniu potencjalnej luki w zabezpieczeniach Aardvark próbuje ją wywołać w izolowanym środowisku typu sandbox, aby potwierdzić, że można ją wykorzystać. Aardvark opisuje podjęte kroki w celu zapewnienia użytkownikom dokładnych i rzetelnych wyników analizy przy niskim poziomie wyników fałszywie pozytywnych.
  • Wprowadzenie poprawek: Aardvark integruje się z OpenAI Codex, aby pomóc w naprawianiu wykrytych luk w zabezpieczeniach. Do każdego wyniku dołącza wygenerowaną przez Codex i przeskanowaną przez Aardvark poprawkę, którą człowiek może sprawdzić i szybko wprowadzić jednym kliknięciem.

Aardvark pracuje razem z inżynierami, integrując się z GitHub, Codex i istniejącymi procesami roboczymi, aby dostarczać jasnych, użytecznych informacji bez spowalniania prac. Chociaż Aardvark został stworzony z myślą o bezpieczeństwie, odkryliśmy podczas naszych testów, że może on również wykrywać błędy takie jak usterki logiczne, niekompletne poprawki i problemy z prywatnością.

Realne efekty już dzisiaj

Aardvark działa już od kilku miesięcy, stale sprawdzając wewnętrzne bazy kodu OpenAI oraz bazy zewnętrznych partnerów alfa. W ramach OpenAI ujawnił istotne luki w zabezpieczeniach i przyczynił się do wzmocnienia odporności naszych systemów. Partnerzy podkreślają dogłębność analizy, dzięki której Aardvark wykrywa problemy występujące wyłącznie w złożonych warunkach.

W testach porównawczych przeprowadzonych na „złotych” repozytoriach Aardvark zidentyfikował 92% znanych i syntetycznie wprowadzanych podatności, wykazując wysoką skuteczność i efektywność w rzeczywistych warunkach.

Aardvark for Open Source

Aardvark zastosowano również w projektach open source, gdzie wykrył — a my w odpowiedzialny sposób ujawniliśmy — liczne luki, z których dziesięć otrzymało identyfikatory Common Vulnerabilities and Exposures (CVE).

Jako beneficjenci całych dziesięcioleci otwartych badań i odpowiedzialnego ujawniania informacji, staramy się odwdzięczać, udostępniając narzędzia i wyniki badań, dzięki którym cyfrowy ekosystem staje się bezpieczniejszy dla wszystkich. Planujemy oferować bezpłatne skanowanie wybranych niekomercyjnych repozytoriów open source, aby podnieść bezpieczeństwo ekosystemu oprogramowania i łańcucha dostaw open source.

Ostatnio zaktualizowaliśmy nasze zasady skoordynowanego ujawniania informacji, których fundamentem jest podejście przyjazne dla programistów, współpraca i skalowalny wpływ, a nie sztywne terminy ujawniania informacji, które są dla programistów źródłem presji. Spodziewamy się, że narzędzia takie jak Aardvark pozwolą wykrywać coraz więcej błędów i pragniemy zapewnić trwałą współpracę w celu osiągnięcia długoterminowej odporności.

Dlaczego jest to ważne

Oprogramowanie jest obecnie podstawą każdej branży, co oznacza, że luki w zabezpieczeniach oprogramowania stanowią systemowe zagrożenie dla przedsiębiorstw, infrastruktury i społeczeństwa. Tylko w 2024 roku zgłoszono ponad 40 000 CVE. Nasze testy pokazują, że około 1,2% zatwierdzonych zmian wprowadza błędy — niewielkie zmiany, które mogą mieć ogromne konsekwencje.

Aardvark reprezentuje nowy model stawiający obrońców na uprzywilejowanej pozycji: aktywnie bada bezpieczeństwo i na bieżąco współpracuje z zespołami, zapewniając ciągłą ochronę w miarę rozwijania kodu. Wykrywając luki w zabezpieczeniach na wczesnym etapie, weryfikując ich rzeczywistą podatność na wykorzystanie oraz oferując przemyślane poprawki, Aardvark może wzmocnić bezpieczeństwo bez spowalniania innowacji. Z przekonaniem staramy się poszerzać dostęp do specjalistycznej wiedzy w zakresie bezpieczeństwa. Zaczynamy od prywatnej wersji beta, a w miarę zdobywania doświadczeń będziemy rozszerzać dostępność.

Prywatna wersja beta już dostępna

Zapraszamy wybranych partnerów do udziału w prywatnej wersji beta Aardvark. Uczestnicy uzyskają wczesny dostęp i będą bezpośrednio współpracować z naszym zespołem nad podnoszeniem dokładności wykrywania oraz ulepszaniem procesów walidacji i raportowania.

Chcemy zweryfikować wydajność w różnych środowiskach. Jeśli chcesz dołączyć ze swoja organizacją lub projektem open source, możesz złożyć wniosek tutaj.

Autor

OpenAI

Współpracownicy

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu i Matt Knight

Przeczytaj więcej

Wyświetl wszystko
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
Dreaming: Better memory for a more helpful ChatGPT

Badania

Rosalind5.5 ArtCard
Wprowadzamy nowe możliwości do GPT-Rosalind

Produkt

1 1 Art Card
Codex dla wszystkich zadań, narzędzi i przepływów pracy

Produkt